コンテンツへスキップ

WordPress アップデートしないサイトの被害相次ぐ WPでのサイト運営を”簡単なこと”に考えてはいけない 

WordPressの4.7.2のアップデート記事にも追記しておいたけど、最新のアップデートには安全性を確保の為、伏せられていた深刻な脆弱性の報告が含まれていた。

WordPress 4.7.2のアップデートが来る 3件の問題を修正 (追記: 安全の為、直ちに情報開示されなかった一つの修正)

その重大な脆弱性の修正を伏せた理由は、悪用拡大をWordpressの方が警戒していたからで、それでも日本においてかなり被害が拡大したと今日読む事にもなった。

WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か

2月初めの複数の国内サイトの改ざんについてまとめてみた

既にこの騒ぎは、商工会議所のサイトまでがアップデートを推奨する事態にまで至っていて、多くの企業のサイトがWordpressを使用しているだろうことが理解できる。

自分のところは、いつもWPのアップデートが来ると速攻でアップデートをしてしまうけど、サイトの管理画面を見てれば、口うるさいほどにWordpressのアップデート告知が出て来て「早くアップデートしろ」と促して来る。

今回、被害にあったサイトは、暫く管理画面に担当者が居なかったのか、それとも、何か理由があって先延ばしにしていたのか? サイト放置も怖い時代になって来た...

今回の件で、再び徳丸氏がその検証記事をあげてくれていた。

WordPress 4.7.1 の権限昇格脆弱性について検証した

これを読んで、かつて話題になった徳丸氏のこの言葉を思い出す。

この言葉には全く同意。リスク管理が出来なかったり、それに真剣に向き合ったり勉強して行く意識が無いなら、Wordpressではサイトを運営しない方が良い事は自分も何度も書いて来た。

しかし、嫌な事を書くけど、今は様々なシステムの脆弱性が日々見つかる時代で、安全なサイトをWordpressで作り上げて行こうと思うなら、そういうものを学んで対処して行く必要もあるし、最近のWordpressでの運営においては過去に比べセキュリティに気を配る比重と言うのは間違いなく増えている。SSL化とて、自分で設定しなくてはいけないし、プラグインの脆弱性の心配もある。
1/7 ”最初からSSL化ブログが作れるサービス ⇒ WordPress.com”より)

 
最近、やたらにWordpressでのサイト運営の素晴らしさやSEOについてアピールするサイトがあるけど、しかし、Wordpressでの運営においてのセキュリティ・リスクについて触れるサイトは本当に少ない。

しかし、実際、あのパナマ文書の情報流出さえ、Wordpressのプラグインの脆弱性から行われた事も噂になったし、これだけ日夜脆弱性が問題になる世の中では、Wordpressでのサイト運営は、おめでたいアフィリサイトが歌うほど簡単なものじゃなくなって来てると思っている。

いや、これはWordpressをけなしてるわけじゃなくて、Wordpressは今も自分にとっては夢のツールだし、それを勉強するのが楽しいから10年もWordpressでサイトをやってるわけで。

それにこんな事を書いてるけど、こういう世の中では自分のところだって「明日は我が身」の可能性だってあって、だから、こういう問題にはスルーできないし、自分も更に勉強して行く必要がある...

自分もIT系の仕事をしてるわけじゃないし、助けになるものは、英語をあまり苦にしないから海外から情報を得やすい...くらいなもの。それでも、そのお陰で海外の人の色々な意見や示唆で、解決しやすい立場にはあると思っている。Wordpressでサイトを運営する場合、今においても英語が多少なり理解できる事は強い味方にもなってくれる。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

twelve − 10 =

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

Scroll Up